"Safe" angegriffener Hacker angreift: Wie haben Daten durch Signal - Untersuchung gestohlen

Dies ist in dem Mandiant -Analysebericht der Cyber ​​Cloud, Dan Black, veröffentlicht, der am 20. Februar über den Namen der Google Threat Intelligence Group (GIG) veröffentlicht wurde, Google Teams, die sich mit Bedrohungen der Cybersicherheit befassen. Es wird berichtet, dass Angriffe sich auf Personen konzentrieren, die "für die russischen Sonderdienste von Interesse sind".

GIG erwartet, dass die Taktiken und Methoden, die jetzt Hacker gegen Signal einsetzen, in Zukunft häufiger werden, einschließlich jenseits des ukrainischen Theaters des Theaters von The Theatre of War. Signal ist ein beliebter Soldaten, Politiker, Journalisten, Aktivisten und anderen Risikogruppen, was das Programm für Cyberkriminelle kostspielig macht. Um vertrauliche Informationen zu nutzen, greifen sie auf Tricks zurück.

Die neueste und häufigste Technik ist der Missbrauch von "verbundenen Geräten", mit dem Sie einen Messenger verwenden können, z. B. aus einem Telefon und einem Tablet gleichzeitig. Um ein zusätzliches Gerät anzuschließen, müssen Sie einen speziellen QR -Code scannen. Hacker erstellen schädliche QR -Codes und scannen, die Benutzer ihr Konto mit dem Gerät des Angreifers verbinden. Infolgedessen kommen alle Nachrichten in Echtzeit und bieten ein dauerhaftes Hörwerkzeug.

Oft wurden schädliche QR -Codes durch echte Signalressourcen wie Einladungen zu Gruppen, Benachrichtigungen über das Sicherheitssystem oder die Geräte maskiert. In spezialisierteren Operationen erstellten Hacker falsche Webseiten, die von Programmen für das Militär maskiert wurden und bereits QR -Codes aufgebaut wurden.

APT44 Hacker (auch als Sandwurm oder Seashell Blizzard bekannt und ist mit dem Hauptzentrum für spezielle Technologien der GRF verbunden), um die Daten von Daten zu verwenden, die von Soldaten auf der Vorderseite des Geräts erfasst wurden. Das heißt, die Invasoren finden ein Smartphone des ukrainischen Militärs, das Signal ist an einen kontrollierten Server gebunden.

Zusätzlich zu der Tatsache, dass die Cyberkriminalität die Nachrichten anderer Menschen sieht, auch wenn das Telefon nicht mehr in seinen Händen ist, kann er sich für den Besitzer suchen. Es wird angemerkt, dass, wenn Sie auf die Daten zugreifen können, auf lange Zeit zugreifen kann. Dies ist auf den mangelnden Schutz für eine angemessene Überwachung zurückzuführen, sodass das "zusätzliche" Gerät für lange Zeit unbemerkt werden kann.

Die russische Spionagegruppe UNC5792 hat die Seiten der "Gruppeneinladungen" verändert. Hacker verwendeten modifizierte "Einladungen" für Signalgruppen, die mit ihnen identisch aussehen sollen. Bei gefälschten Gruppeneinladungen wurde der JavaScript -Code, der den Benutzer normalerweise in die Gruppe leitet, durch einen schädlichen Block ersetzt. Es enthielt eine einheitliche Ressourcenkennung (URI), die von einem neuen Gerät verwendet wurde.

Das heißt, die Opfer solcher Angriffe dachten, dass sie mit den Gruppen im Signal kombiniert wurden, und tatsächlich erhielten sie vollen Zugriff auf ihre Konten Hacker. Eine andere Hacker -Gruppe im Zusammenhang mit Russland ist UNC4221. Ihre Bemühungen konzentrierten sich auf ukrainische Soldaten. Hacker haben eine gefälschte Version der Komponenten der Brennnessel entwickelt, mit der die Streitkräfte die Artillerie leiten. Der Zweck ist auch die Entführung von Daten aus Signal.

Darüber hinaus versuchten Hacker, Geräte zur Einladung der Gruppe von einem vertrauenswürdigen Kontakt zu verkleiden. Es wurden unterschiedliche Variationen solcher Phishing -Angriffe aufgezeichnet: Cyberkriminelle verwendeten einen speziellen Pinpoint -Code, der grundlegende Informationen des Benutzers und seiner Geolokalisierung mit der API -Geolokalisierung sammeln konnte. Hacker haben auch daran gearbeitet, Signaldatenbankdateien zu stehlen.

Die Angriffe wurden auf Android und Windows abzielen. APT44 arbeitete mit Wavesign -Tool, das regelmäßig Anfragen an die Datenbank sendet. Gleichzeitig hat RCLone Antworten mit den neuesten Nachrichten im System entladen.

Die schädliche Software des berüchtigten Meißels, die auch wahrscheinlich von Sandwurm erzeugt wurde, suchte nach Android -Geräten, die mit dem Signal für die Entführung im Zusammenhang mit der Entführung im Zusammenhang mit der Entführung im Zusammenhang mit der Entführung gesucht wurden.

Der Turla Hacker, den die USA und das Vereinigte Königreich auf das 16 FSB Center zugeordnet haben, verwendete ein spezielles PowerShell -Skript, um nach der Infektion eine Nachricht von Signal Desktop zu erhalten. UNC11151, bezogen auf Belarus, verwendet RoboCopy Utility, um Dateien aus Signal Desktop zur weiteren Entführung zu kopieren.

Google hat Tipps gegeben, wie sie ihre persönlichen Geräte vor möglichen Hacker -Angriffen schützen können: iPhone -Benutzer haben empfohlen, den Sperrmodus zu wechseln. "Wir danken dem Signal -Team für eine enge Zusammenarbeit bei der Untersuchung dieser Aktivität. Die neuesten Signal- und iOS -Versionen enthalten erweiterte Funktionen, die in Zukunft vor solchen Phishing -Kampagnen schützen sollen. Aktualisieren Sie die neueste Version, um diese Funktionen zu wenden", sagte GIG.